Ich habe ein Projekt im Sinn und würde gerne einige Ideen zu Open-Source-Lösungen mit COTS-Hardware hören.
Ich habe einige verwaltete Layer2-Switches mit 24 und/oder 48 Ports, an denen möglicherweise Kunden an jedem Port angeschlossen sind (normalerweise sind es jedoch etwa 20 bis 30). Im Moment verfügt der Switch über ein überbrücktes Netzwerk und leitet den Datenverkehr zu unserem Kern zu einem zentralen DHCP-Server zurück. Ich muss sie auf eine NAT-Lösung umstellen und möchte dabei die Kunden an jedem Port vor dem Kundenverkehr an den anderen Ports schützen. Außerdem muss ich in der Lage sein, Ports von der öffentlichen Seite der Firewall/NAT-Box an bestimmte Hardware im Inneren der NAT-Maschine weiterzuleiten (ich weiß, das ist ziemlich einfach).
Meine ersten Gedanken sind, eine geräteähnliche Box zu bauen (je weniger bewegliche Teile, desto besser), die Filterung und NAT mit RFC1918 durchführen kann, wobei ein Adressbereich über einen DHCP-Server auf dem Gerät verteilt wird. Ein DNS-Server mit Cache auf dem Gerät wäre ein Plus, da wir alles zum Kern zurückleiten. Ich würde gerne FreeBSD verwenden, bin aber offen.
Um nun zu versuchen, den sichtbaren Broadcast-Verkehr zu begrenzen, dachte ich daran, jeden Port auf dem Switch als ein anderes VLAN zu verwenden und den Switch Trunking zur privaten Netzwerkkarte auf FreeBSD/Appliance durchführen zu lassen. Ich müsste wahrscheinlich ein bisschen Magie auf der FreeBSD-Netzwerkkarte anwenden, damit das funktioniert, aber es sollte funktionieren.
Wir haben die Teile, um diese Systeme zu bauen. Ist das also sinnvoll? Gibt es andere Lösungen, für die wir kein Geld ausgeben müssen, sondern mit unseren Teilen etwas erschaffen können? Gibt es bereits gute Distributionen, die das können (Monowall)?? Ich werde diese Lösung vielleicht verwalten, vielleicht aber auch nicht, daher wäre ein sicheres Webkonfigurations- und Verwaltungstool in den Augen der anderen Administratoren ein Pluspunkt.
Gedanken?